SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE Roman Pudil, SOITRON 12. 4. 2010
Vymezení pojmů Identita = totožnost, shodnost •
IT identitou může být „cokoliv“ (člověk, místnost, program, …)
Trezor identit = úložiště dat •
Systém správy identit zajišťuje bezpečné uložení dat o identitách
Provisioning = poskytnutí, poskytování, propůjčení •
Systém správy identit zajišťuje on-line kontrolované a řízené poskytování informací o identitě ostatním systémům v jimi požadované formě nebo její reprezentace v koncových systémech
Rekonsilace = získání •
Systém správy identit zajišťuje on-line kontrolované a řízené získávání informací o identitě z autoritativních systémů
Self Management = samospráva, samoobsluha •
Může/nemusí souviset s řešením správy identit
Password Synchronization = synchronizace hesla •
Může/nemusí souviset s řešením správy identit
Životní cyklus identity
VZNIK
SPRÁVA
Zaměstnanci, externisti, partneři, zákazníci, certifikáty, tokeny …
Profily a práva, audit Uživatelé
Hesla
Přístupy, historie
Atributy
Skupiny a role
Správa hesel a přístupů
ZÁNIK
PODPORA
Řízení procesů - workflow
4
FIM 2010 v NKÚ
Příchod nového zaměstnance
VZNIK Řízení procesů - workflow Uživatelé
Hesla
ZÁNIK
• Jednoznačná identifikace uživatele • Jednoznačné označení uživatele SPR ÁV • generování korporátního login name • generování emailové adresy A • generování certifikátů Atributy • Jednoznačné přiřazení účtů identitě • generování hesla a jeho propagace a synchronizace • Skupin Jednoznačné určení role y • přiřazení aplikací • uplatnění politik
PODPOR A
Požadavky a schválení
5
FIM 2010 v NKÚ
Pozice a vlastnosti se mění...
VZNIK
SPRÁVA Řízení procesů - workflow
Uživatelé
Hesla
ZÁNIK
Atributy
Skupin y a role
• Změna role • změna přiřazených aplikací • změna nastavení pracovní plochy PODPOR • změna dostupnosti funkcí A • Změna pozice • Změna firemních/organizačních informací • Změna osobních informací Požadavky a schválení
6
FIM 2010 v NKÚ
Zaměstnanec chce svoje...
VZNIK Uživatelé
• Možnost editace svého profilu • Možnost žádosti o změnu role • Možnost žádosti o aplikaci Hesla • Možnost žádosti o přístup/změnu přístupu • Možnost žádosti o vydání certifikátu – stažení certifikátu Zhesla ÁNIK • Možnost změny/nastavení Požadavky a schválení
7
FIM 2010 v NKÚ
SPRÁVA Atributy
Skupiny a role
Řízení procesů - workflow
PODPORA
Odchází, ale nezmizí... • Které účty (v jakých aplikacích) zrušit • Která varování provést • Které účty zamknout • Které informace uvést vVZNIK reportu • Které informace smazat/zachovat Požadavky a schválení Uživatelé
Hesla
SPRÁVA Atributy
Skupiny a role
Řízení procesů - workflow
ZÁNIK
8
FIM 2010 v NKÚ
PODPORA
Tak ještě jednou...
VZNIK
SPRÁVA
Zaměstnanci, externisti, partneři, zákazníci, certifikáty, tokeny …
Profily a práva, audit Uživatelé
Hesla
Přístupy, historie
Atributy
Skupiny a role
Správa hesel a přístupů
ZÁNIK
PODPORA
Řízení procesů - workflow
9
FIM 2010 v NKÚ
Bezpečnostní kontext zaměstnance Personální informační systém
Firewall/Proxy/Gateway
!!
Router/switch/modem/…
!!
Server Operační systém
!!
?? !! Aplikace 1
!! Aplikace 2
!!
!!
!!
?? Aplikace n
!! ??
!!
Pracovní stanice Operační systém
?? Aplikace a služby
Stav v organizacích
Uživatel
Soubor/Tisk
Pošta/Skup.p lánování
HR/Appl/db Adresář
WebServer Proxy/FireWall Správa desktop/uživatel/SW
Příklad IT systému s implementací IDM
Komponenty IDM • Správa identit (Management of Identities) • Provisioning/deprovisioning účtů • Automatizace řízení procesů (Workflow automation) • Delegovaná správa (Delegated administration) • Synchronizace hesel (Password synchronization) • Samoobsluha (Self Service) • Řízení přístupu (Access Control) • Správa přístupů (Access Management) zahrnuje správu dat o • identitě uživatele • autentikaci uživatele • Řízení přístupu pomocí politik (Policy based access control) • Přístup jediným přihlášením (Enterprise/Legacy Single Sign On SSO and Single Signout) • Přístup k web aplikacím jediným přihlášením (Web Single Sign On)
Komponenty IDM • Adresářové služby (Directory Services) • Bezpečné úložiště identit - správu účtů a jejich atributů • Replikace/synchronizace • LDAP, X.500 • IBM/Tivoli, Microsoft, Novell, Oracle ID, Sun/iPlanet • Jiné související kategorie • Audit (kdo-kam-kdy-jako kdo- …) • Řízení přístupů na základě rolí (Role-based Access Control) • Řízení přístupů na základě pravidel (Rule-based Access Control) • Federace přístupů
DĚKUJI
[email protected]
15
názov prezentácie
